.png)
Pour les entreprises qui souhaitent rester compétitives, l’acceptation du paiement par carte s’impose. Rapide et pratique, ce moyen de paiement répond aux besoins des acheteurs en magasin et sur les sites marchands. Cependant, la flexibilité du paiement par carte s’accompagne d’un cortège de risques en matière de sécurité.
En tant que marchand, autoriser le paiement par carte tout en protégeant les informations financières des consommateurs devient une priorité. À ce propos, la norme PCI DSS 4.0 (Normes de Sécurité des Données de l’Industrie des Cartes de Paiement) dresse une liste complète des recommandations à adopter afin de créer un environnement de paiement fiable et sécurisé.
Au travers de 12 conditions détaillées, la PCI DSS 4.0 définit les rôles et responsabilités en matière de protection des données. En somme, c’est un ensemble de règles nouvelles auxquelles toutes les entreprises qui acceptent les paiements par carte devront se conformer dès le premier trimestre de 2025.
Le Payment Card Industry Data Security Standard est un cadre de sécurité de l'information qui vise à aider les commerçants et les prestataires de services à protéger les transactions par carte contre les violations de données.
Toutes les entreprises qui acceptent, transmettent ou gardent les informations privées des titulaires de cartes de paiement doivent respecter les 12 conformités à la norme PCI. Il s'agit de maintenir des environnements sécurisés et de protéger les données des titulaires de cartes de leurs clients, ainsi que leur réputation en tant qu'entreprises fiables.
Toutefois, la conformité PCI DSS n'est pas une loi ou un règlement. Il s'agit plutôt d'un mandat de l'industrie. Néanmoins, les entreprises qui ne respectent pas les normes PCI peuvent se voir infliger des amendes pour négligence et violation des accords.
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles de sécurité conçues pour s'assurer que toutes les entreprises qui acceptent, traitent, conservent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. Bien que la norme PCI DSS soit gérée par le PCI Security Standards Council, qui est une organisation indépendante, son adhésion n'est pas imposée par la loi. Cependant, elle est rendue obligatoire par les accords contractuels entre les commerçants, les banques acquéreuses et les principales marques de cartes de crédit comme Visa, MasterCard, American Express, Discover et JCB.
En résumé, la conformité à la norme PCI DSS n'est pas directement une obligation légale, mais elle devient de facto obligatoire pour toute entreprise qui traite des transactions par carte de crédit en raison des exigences imposées par les réseaux de cartes et les banques. Le non-respect de ces normes peut entraîner des amendes, des restrictions ou la révocation de la capacité à traiter des paiements par carte de crédit, ce qui peut avoir un impact significatif sur les activités commerciales.
Savoir plus: Tout ce que vous devez savoir sur la DSP3 et RSP
Les 12 exigences de conformité PCI établies par le PCI SSC sont à la fois opérationnelles et techniques ; toutefois, l'objectif principal de ces exigences est toujours de protéger les données des titulaires de cartes. Il s'agit des 12 exigences définies par le PCI SSC pour PCI DSS 4.0.
1. Installer et maintenir des contrôles de sécurité du réseau
Cette mesure consiste à créer, par le biais de pare-feu ou par tout autre moyen, un environnement réseau sécurisé qui garantit que le trafic entrant et sortant réponde à des règles strictes, afin de protéger l’accès aux données des cartes de paiement.
2. Appliquer des configurations sécurisées à tous les éléments du système
Plutôt que de conserver les accès par défaut, il est recommandé d’utiliser des mots de passe et des configurations personnalisées pour tous les dispositifs et éléments du système, afin de minimiser encore plus le risque d’accès aux données par des acteurs malveillants.
3. Protéger les données de carte pendant leur conservation
Le stockage des données de cartes doit répondre à des normes strictes de chiffrement, de tokénisation, de tronquage, de hashage et d’affichage. En effet, les entreprises doivent écumer leurs fichiers journaux, bases de données et autres emplacements pour s’assurer que seules les informations pertinentes sont conservées et uniquement dans les conditions qui en garantissent la protection.
4. Protéger les données des titulaires de carte grâce à une cryptographie robuste lors de la transmission sur des réseaux publics ouverts
Lors de la transmission des données de carte de paiement sur des réseaux ouverts, le chiffrement est obligatoire. L’utilisation de protocoles de cryptage tels que TLS et SSH est recommandé pour réduire la probabilité d’exploitation des données interceptées sur les réseaux ouverts.
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
Il est impératif que les entreprises disposent de logiciels anti-virus régulièrement mis-à-jour afin de répondre à la menace que représentent les maliciels et autres logiciels mailveillants susceptibles d’être installés sur leurs systèmes et capables de compromettre les données de cartes de paiement.
6. Développer et maintenir des systèmes et des logiciels sécurisés.
La sécurité est une mission de chaque instant. Pour être en conformité avec la norme PCI DSS 4.0 il est crucial d’identifier et de corriger les failles de sécurité qui pourraient être exploitées par des acteurs malveillants ; notamment en appliquant les correctifs de sécurité pour tous les systèmes et applications qui composent l’environnement de données de cartes.
7. Limiter l'accès aux composants système et aux données des titulaires de cartes en fonction des besoins de l'entreprise.
L’implémentation de mesures de contrôle d’accès rigoureuses permet de s’assurer que les données de carte de paiement ne sont accessibles que pour des rôles spécifiques au sein de l’organisation, lorsqu’ils en ont besoin, et uniquement selon le niveau de privilège correspondant à leur rôle.
8. Identifier les utilisateurs et authentifier l'accès aux composants système.
Chaque utilisateur autorisé par le système doit disposer d’un identifiant unique sans possibilité de partage. Qu’il s’agisse d’un compte de point de vente, d’un rôle administratif ou d’un rôle de suivi, des identifiants uniques sécurisés doivent être générés afin de retracer toute activité dans l’environnement de données de cartes.
9. Limiter l'accès physique aux données des titulaires des cartes
Afin d’éviter que des personnes non autorisées n’accèdent aux systèmes et aux informations sensibles, les entreprises doivent restreindre l’accès physique aux données des titulaires de cartes et aux systèmes où elles sont conservées, traitées et transmises.
10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes
Les activités relatives à l’environnement de données de carte doivent être journalisées et auditées afin de déceler toute anomalie ou toute activité suspecte. Ces données d’audit doivent également être stockées pendant au moins un an.
11. Tester régulièrement la sécurité des systèmes et des réseaux
Les entreprises se doivent de tester continuellement leur systèmes pour identifier de nouvelles failles de sécurité. Ceci implique de procéder à des tests périodiques des systèmes, des processus et des logiciels pour garantir le maintien de la sécurité.
12. Renforcer la sécurité de l'information par des politiques et des programmes internes à l'entreprise
Les employés des entreprises doivent être sensibilisés et formés quant à la protection des données sensibles relatives aux comptes de paiement. Il est crucial d’élaborer des politiques internes de sécurité robustes qui situent efficacement les responsabilités en la matière.
Le niveau de conformité PCI DSS (Payment Card Industry Data Security Standard) qui s'applique à votre établissement dépend principalement du volume de transactions par carte de crédit que vous traitez sur une base annuelle. Les niveaux sont définis par les marques de cartes de crédit et peuvent varier légèrement entre elles, mais voici une vue d'ensemble générale des niveaux pour la plupart des cas:
Il est important de noter que ces niveaux peuvent varier légèrement selon les marques de cartes et les régions. De plus, votre banque acquéreuse ou le processeur de paiement peut avoir des exigences supplémentaires ou plus strictes. Il est donc crucial de vérifier directement avec eux ainsi qu'avec les normes spécifiques de chaque marque de carte avec laquelle vous travaillez pour déterminer le niveau de conformité PCI DSS exact qui s'applique à votre situation.
En tant que marchand, l’acceptation des paiements par carte est un levier de croissance important. Ceci implique toutefois d’endosser les responsabilités relatives à la protection des données de cartes. Une fois par an, vous avez l’obligation de valider la certification PCI DSS de votre entreprise. Cette évaluation est conduite par des QSA (Quality Security Assessors) qui sont des personnes et sociétés indépendantes agréées par le Conseil des normes de sécurité PCI.
Chez Checkout.com nous avons fait le choix de SecurityMetrics, une société de QSA partenaire qui aide les commerçants à se conformer à la norme PCI DSS. En tant qu’experts de l’industrie, SecurityMetrics saura vous renseigner quant à votre degré de conformité et les meilleurs moyens de combler toutes les lacunes de sécurité éventuelles.
Pour en savoir plus, consultez le site Internet de SecurityMetrics.
.webp){kind=avatar}
Anthea is a Senior Content Marketing Specialist at Checkout.com. And writing about digital payments and the digital economy covers everything from payment methods to regulatory changes.
